Pergunta de segurança? Um hacker pode adivinhá-la “facilmente”

 E de os utilizadores recordarem as suas respostas às perguntas?

A Google analisou centenas de milhões de processos de pedidos à Google para recuperação das respectivas contas e concluiu que as  perguntas secretas não são suficientemente seguras nem fidedignas para serem utilizadas exclusivamente como ferramenta de recuperação de contas. As respostas ou são seguras ou fáceis de lembrar - mas raramente ambas.

Qual era o nome do seu primeiro animal de estimação?

Qual é a sua comida favorita?

Qual é o nome de solteira da sua mãe?

O que é que estas questões aparentemente aleatórias têm em comum? Todas elas são exemplos conhecidos das habituais "questões de segurança". Provavelmente, já teve de responder, pelo menos, a uma delas. Muitos serviços on-line usam este tipo de questões para ajudar os utilizadores a recuperarem a acesso às suas contas nos casos de terem esquecido as palavras-passe ou para adicionarem mais um nível de a segurança para protecção do utilizador em relação a acessos suspeitos

Porém, apesar da prevalência das questões de segurança a verdade é que a sua real eficácia raramente foi estudada em profundidade.  As  conclusões da Google, resumidas num paper permitem concluir que este tipo de perguntas secretas não são suficientemente seguras nem fidedignas para serem utilizadas exclusivamente como ferramenta de recuperação de contas. É que elas encerram em si uma falha fundamental: as suas respostas ou são seguras ou fáceis de lembrar - mas raramente ambas.

Respostas fáceis não são seguras

Não é surpresa que as respostas fáceis de lembrar são menos seguras. As respostas fáceis, contêm, muitas vezes, informação pública ou sobejamente conhecida pelo público em geral e, nalguns casos, até fazem parte de um pequeno grupo de possíveis respostas devido a questões culturais (como por exemplo os apelidos em alguns países).

Eis algumas das conclusões específicas:

• Com uma única tentativa, um hacker teria 19.7% de hipóteses de adivinhar a resposta dos utilizadores falantes de língua inglesa para a questão "Qual é a sua comida favorita?" (Já agora a resposta seria pizza);
• Com dez tentativas, um hacker teria perto de 24% de hipóteses de adivinhar a resposta dos utilizadores falantes de língua árabe para a pergunta "Qual é o nome da sua primeira professora?"
• Com dez tentativas, um hacker teria 21% de hipóteses de adivinhar as respostas de utilizadores falantes de língua espanhola para a questão "Qual é o nome do meio do seu pai?"
• Com dez tentativas, um hacker teria 39% de hipóteses de adivinhar as respostas dos utilizadores falantes de língua coreana para a questão " Qual o nome da cidade onde nasceu?" e teria 43% de hipóteses de adivinhar a sua comida favorita.

Muitos utilizadores diferentes revelaram respostas idênticas para as questões secretas que normalmente se poderiam esperar que fossem altamente seguras, tais como "Qual é o seu número de telefone? ou "Qual é o seu número de passageiro frequente? A Google investigou e descobriu que  37% das pessoas indicaram propositadamente respostas erradas para este tipo de questões a pensar que, desta forma, seria mais difícil descobrir. No entanto, estas respostas acabam por ter o efeito contrário pois as pessoas escolhem a mesma resposta (errada) e aumenta a possibilidade de um atacante a poder contornar.

Respostas difíceis não são utilizáveis

A grande surpresa foi que não é fácil lembrar qual a escola primária que a sua mãe frequentou ou até o número do seu cartão de leitor da biblioteca! As perguntas e respostas difíceis são muitas vezes complicadas de utilizar. Eis algumas conclusões interessantes:

• 40% dos nossos utilizadores falantes de língua inglesa nos Estados Unidos não se recordavam das respostas às questões secretas quando precisaram. Porém, estes mesmos utilizadores recordavam-se dos códigos de reposição enviados para eles por SMS em 80% das vezes e em 75% no caso de códigos enviados por email.
• Algumas das potenciais questões de segurança mais fortes - "Qual é o número do seu cartão de leitor" e "Qual é o seu número de passageiro frequente" têm apenas taxas de recordação na casa dos 22% e 9% respectivamente.
• No caso dos utilizadores falantes de língua inglesa nos Estados Unidos a pergunta fácil "Qual é o nome do meio do seu pai?" teve uma taxa de sucesso de 76% enquanto no caso da pergunta potencialmente mais segura "Qual é o número do seu primeiro telefone" a taxa foi de apenas 55%.

Porque não adicionar mais questões de segurança?

De acordo com os dados publicados, a pergunta e resposta mais fácil é " Qual a cidade onde nasceu" - os utilizadores lembram-se da resposta em 79% das vezes. A segunda mais fácil é a questão "Qual é o nome do meio do seu pai?" - lembrado pelos utilizadores em 74% das vezes. Caso o hacker tivesse 10 tentativas para adivinhar estas respostas, teria cerca de 6.9% e 14.6% de hipóteses para adivinhar a resposta correcta, respectivamente.

Mas, quando os utilizadores têm de responder a ambas as questões, a distância entre a segurança e a utilidade torna-se grande. A probabilidade que um hacker adivinhar a resposta para ambas as questões em 10 tentativas é apenas de 1% enquanto que os utilizadores conseguem recordar ambas as respostas em 59% dos casos. Adicionar mais perguntas secretas torna o processo de recuperação das contas mais difícil e não é uma boa solução.

A Próxima Questão é: O que fazer?

As perguntas secretas são há muito utilizadas em processos de autenticação e de recuperação de contas online. Mas, tendo em conta, estas conclusões é importante para os utilizadores e proprietários de websites pensarem neste assunto.